Как спрятать Radmin?

Гном *

Guest

Это нравится:0 Да/0 Нет

21.08.2005 07:37:20

Почитал ветки "как защититься от радмина". Возник контрвопрос.
А как этот радмин поныкать?

Идеи:
1) скрестить с подходящим руткитом.
(Как погиб Мичурин? Полез на клубнику за вишней, а его арбузами завалило.)

2) запустить как ядерную службу (? не уверен, что выйдет, может быть через srvany)

3) переименовать во что - то подходящее.

Кто этим занимался? Pls, поделитесь опытом.
В понедельник буду экспериментировать, что получится, отпишу.

UseR_SpB Guest	#2 Это нравится:0 Да/0 Нет 21.08.2005 07:56:51 В корман !

Bogotify

Guest

Это нравится:0 Да/0 Нет

22.08.2005 13:45:52

Всё очень просто. При установке RA указываешь ему дирректорию для инсталла в system32 (там всго много и его файло просто затеряется в этой дирректории). Потом переименовываешь файл r_server в напр. в svhost.exe , в свойствах (настройках) радмина выставляешь фичу, чтобы скрыть системную иконку. В службах сервис Remote Administrator переименовываешь как напр. DNS-сервер, удаляешь из меню деинсталяции, чистишь реестр (все ветки) от ремутера, причём хочу заметить, что этим невозможно полностью убить радмина, а потому смело убивай всё, что с ним связанно, лишнее он сам не даст удалить =)
Затем машину в ребут и получает след. картину:

* По 3-м педалям у нас висит сервис svhost.exe (вместо r_sever), в службах какойто DNS-server, которого нет в Win2k и XP (есть только DNS Client, но для логичности мона переименовать сервис админа в DNS server

)

* В меню деисталляции программ, Program Files и Главном меню, также следы жизнедеятельности RAdmin`a отсутствуют =)

Так что, вполне норманьный вариант для сокрытия работы этой программы. Если канешна копать глубже и профессиональнее, то ессно всё мона отрыть.. даже иголку в стоге сена =)

Гном *

Guest

Это нравится:0 Да/0 Нет

22.08.2005 19:11:06

Способ прост и для юзера сгодится. Переименования всякие радмин переносит легко,
установка по определению делается копированием 3 файлов в system32 и -install -silence,
нюансы тут следующие:
1) Можно слить куда-то еще и откровенно обозвать svchost.exe, ибо путь по умолчанию не виден
2)HKLM/System/Radmin вынести не получится, тк. там его конфиги. Остается править экзешник, что лениво.
3) С немного образованным юзером не прокатит.

По поводу запихивания в ядро:
1) Изменение ранлевела ведет к незапускаемости службы
2) Через srvany тоже не выходит.

Остаются руткиты. Вот только подберу не палящийся...

ZOR

Guest

Это нравится:0 Да/0 Нет

25.08.2005 16:25:01

INSTALL.WSF

Код

<?XML version="1.0" encoding="ISO-8859-1" ?>
<!-- Filename: copy.wsf-->
<package>
  <job id = "T1">
    <script language="VBScript">
<![CDATA[

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")

Set colOperatingSystems = objWMIService.ExecQuery _
    ("Select * from Win32_OperatingSystem")

For Each objOperatingSystem in colOperatingSystems

   IF objOperatingSystem.OSType = 18 Then

      Set colServices = objWMIService.ExecQuery _
          ("Select * from Win32_Service Where Name = 'r_server'")
      
      IF colServices.Count = 0 Then
        
         Set WshShell = WScript.CreateObject("WScript.Shell")
         Set WshFSO = CreateObject("Scripting.FileSystemObject")
      
         Const OverwriteExisting = True
         CurrentFolder =  WshFSO.GetFolder(".") & "\"
                   msgbox CurrentFolder
           SystemDirectory = objOperatingSystem.SystemDirectory & "\"
      
         IF (WshFSO.fileexists(CurrentFolder & "r_server.exe")) then
            WshFSO.CopyFile CurrentFolder & "r_server.exe", _
                     SystemDirectory, OverwriteExisting
         END IF
         
         IF (WshFSO.fileexists(CurrentFolder & "raddrv.dll")) then
            WshFSO.CopyFile CurrentFolder & "raddrv.dll", _
                     SystemDirectory, OverwriteExisting
         END IF
         
         IF (WshFSO.fileexists(CurrentFolder & "AdmDll.dll")) then
            WshFSO.CopyFile CurrentFolder & "AdmDll.dll", _
                     SystemDirectory, OverwriteExisting
         END IF
         
         IF (WshFSO.fileexists(SystemDirectory & "r_server.exe")) then
            WSHShell.Run(SystemDirectory & "r_server.exe /install /silence")
         END IF
         
         IF (WshFSO.fileexists(CurrentFolder & "settings.reg")) then
            WSHShell.Run("regedit.exe /s " & CurrentFolder & "settings.reg")
         END IF
      
      
      END IF
   END IF
NEXT   
]]>
    </script>
  </job>
</package>

settings.reg с настроенной машины из [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]

Гном *

Guest

Это нравится:0 Да/0 Нет

25.08.2005 22:12:07

ZOR, почитайте хелпы к радмину. Там все гораздо проще.
И в будущем внимательно читайте вопрос, перед тем, ткак отвечать: я спрашиваю, не как поставить радмин удаленно и незаметно, а как спрятать от юзера процесс, ветку реестра и открытый порт. :hul:

dE fENDER

Guest

Это нравится:0 Да/0 Нет

25.08.2005 22:51:28

Уже давно использую именно для этой цели такой руткит, как Hacker Defender (переделанный, чтоб антивирусы не беспокоить). Отлично прячет процесс и ветку. С портом посложнее - его все равно видно внешним сканером... и без переделки самого радмина вряд ли удастся сделать так, чтобы эти самые сканеры (тот же икс-спайдер) не могли установить, что там на этом порту стоит.
А если в svchost переименовывать, то лучше не переносить в другую папку из систем32, а просто буквы о или с заменить на русские.

Гном *

Guest

Это нравится:0 Да/0 Нет

26.08.2005 06:20:01

Цитата
Hacker Defender (переделанный, чтоб антивирусы не беспокоить)

руткит прекрасный. особенно хорошо конфигурируется. и бэкдор у него без проблем с кодировкой, в отличие от того же радмина.

что и чем переделано? перекомпиливал? достаточно ли драйвера через lcc ? а то я ну совсем не пасквилист :cry:

антивирь находит участки, отвечающие за внедрение кода и хуков.

Гном *

Guest

Это нравится:0 Да/0 Нет

26.08.2005 06:29:26

ЗЫ по поводу переименования

В dllcashe его. С sfc проблем быть не должно, тк. файл - то unsigned... А пути для себя служба пишет абсолютные... dll - ки в ту же папку.

:offtop:
Смотрит пьяный хакер на Нортон Коммондер: слева диск С: и справа диск С:...
--- А нафига мне 2 диска С:
Взял и снес правый к едрене фене...

mzz Guest	#10 Это нравится:0 Да/0 Нет 05.09.2005 11:44:15 Это все понятно. А как можно сделать, чтобы не была видна иконка R_Server в трее?

ZOR

Guest

#11

Это нравится:0 Да/0 Нет

05.09.2005 12:54:25

Цитата
mzz пишет: Это все понятно.А как можно сделать, чтобы не была видна иконка R_Server в трее?

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"DisableTrayIcon"=hex:01,00,00,00

smale_3 Guest	#12 Это нравится:0 Да/0 Нет 06.09.2005 13:51:21 Можно и при установке выбрать, чтобы не отоброжалась иконка в трее.

Sky_ Fury Guest	#13 Это нравится:0 Да/0 Нет 12.09.2005 12:16:19 Советую отключать ешо и сигнал, когда кто нить коннектится радмин бипает, и очень громко, можно админа разбудить =) "DisableBeep" вроде так называется.....так же как с треем поменять на 01 00 00 00

Alex H Guest	#14 Это нравится:0 Да/0 Нет 15.09.2005 10:47:27 Всеравно выловить проще простого .. если нарваться на меня Вылавливал трояны простым анализом дат файлов и свойствами Переименовывал и удалял.

nester Guest	#15 Это нравится:0 Да/0 Нет 15.09.2005 10:56:43 забей на радмина http://www.securitylab.ru/forum/read.php?FID=18&TID=16473&MID=162467#message162467

Гном *

Guest

#16

Это нравится:0 Да/0 Нет

16.09.2005 21:01:00

Цитата
забей на радмина

А реалтайм видеозахват там есть?

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?